У меня возникают проблемы с тем, что makecert
не может создать самозаверяющий сертификат SSL с альтернативным именем субъекта (SAN). Последние версии Google Chrome выдают ошибку безопасности при доступе к веб-сайту через HTTPS. Я прочитал несколько статей, чтобы попытаться понять контекст, и пришел к выводу, что makecert
достаточно устарела и не сможет поддерживать генерацию сертификата X509 v3 с помощью SAN. Есть ли альтернативные средства для создания самозаверяющего корневого сертификата и промежуточных сертификатов на основе этого корневого ЦС с использованием чего-то еще, что может работать в Windows 7 и более поздних версиях?
Корневой сертификат создается следующим образом:
makecert.exe -pe -ss Root -sr LocalMachine -n "CN=DIGITALMARKETRESEARCHAPPS PTY LTD, O=DIGITALMARKETRESEARCHAPPS PTY LTD, OU=DIGITALMARKETRESEARCHAPPS PTY LTD" -eku 1.3.6.1.5.5.7.3.1 -r -cy authority -a sha256
Промежуточный сертификат с указанным выше Root CA создается следующим образом:
makecert.exe -pe -ss my -n "CN=www.myawesomesite.com.au, O=DIGITALMARKETRESEARCHAPPS PTY LTD, OU=DIGITALMARKETRESEARCHAPPS PTY LTD" -sky exchange -in "DIGITALMARKETRESEARCHAPPS PTY LTD"
Кажется, я не могу найти способ использовать New-SelfsignedCertificateEx
или New-SelfSignedCertificate
для точного сопоставления с указанным выше параметром и создания сертификата с данным корневым центром сертификации.
Я буду очень благодарен за любую помощь в правильном направлении, пожалуйста.
На данный момент существует старое приложение, которое используют наши клиенты, которое использует makecert.exe
для создания SSL-сертификатов на лету. К сожалению, это было сделано давным-давно, и сейчас трудно вернуться назад и сказать им изменить всю архитектуру. Google Xhrome, в частности, жаловался на эти сертификаты, сгенерированные makecert
, как описано в этой статье ниже:
http://www.telerik.com/blogs/understanding-fiddler-certificate-generators
openssl.exe
. Не по теме. - person user207421   schedule 19.07.2017